1、产品介绍

吉大正元密码综合服务管理平台是以商用密码为基础，通过统一的密码服务接口为业务应用提供密码安全服务，包括密钥管理服务、密码计算服务、数字证书服务、身份认证服务、数据签验服务等。解决业务应用商用密码使用的合规性、正确性和有效性的问题。同时制定集中密钥管理和应用标准要求，形成规范、可靠、完整的密码保障体系。为企业客户提供：统一密码应用指导和安全服务，统一应用接入和授权管理，统一密码资源管理和使用，统一密码服务监控和风险预警，统一密码业务分析和效能展现。

产品平台基于开放的标准开发，具备良好的兼容性和可扩展性，支持标准的商用密码产品集成和密码安全服务的横向扩展，真正实现综合的、统一的、完整的、体系化的密码管理和服务基础设施解决方案，满足企业网络、信息系统、移动应用、物联网等多样化的密码需求。

2、总体设计

吉大正元密码综合服务管理平台整体分为平台服务层和基础支撑层，平台服务层包括密码统一服务系统和密码业务管理系统，主要是面向应用，为应用层提供统一的密码安全服务，以及对应用的密码服务使用进行集中管理和控制。支撑层包括密钥管理系统、基础密码服务系统、设备管理系统，以及一些成熟的商用密码产品，如数字证书认证系统、身份认证网关、数字签名服务器等，这些支撑层的系统是密码综合服务管理平台的核心，处理着从服务层进来的应用系统密码服务请求和密码业务实现，同时支撑层还有密码业务分析系统和密码业务监控系统，他们是对密码综合服务管理平台的所有服务、系统、设备，密码应用状态等进行全面的数据分析和状态监控，进行直观的展示或及时的预警通知。

3、平台架构

密码综合服务管理平台采用多层架构体系，使用了先进的微服务技术及模块化结构设计，从模块层次上划分，平台包括服务层、支撑层、资源层、服务监管及平台管理终端，还包括使用和调用密码服务平台服务的应用层部分。

密码综合服务管理平台架构

⑴应用层

应用层主要是指使用密码综合服务管理平台的人、设备、应用、服务和数据等。各种需求对象都可以在需要使用证书、密码管理服务，数据加解密、数据签验、身份认证……计算服务时，可以直接调用密码服务平台的服务来予以实现。同时为业务系统提供服务端认证组件和客户端服务组件，其中服务端认证组件解决业务系统服务端到密码服务平台的证书身份认证以及特殊业务场景下在业务系统本地进行密码服务运算；客户端服务组件是解决业务系统客户端浏览器或手机终端进行加解密和签名验签等业务场景。

⑵服务层

服务层是统一密码服务平台整体框架承上启下的关键层次，该层次基于密码服务支承层和资源层，结合应用相对固化、抽象的密码需求进行凝练和总结，构建各类密码服务支撑所需的产品和系统，为业务系统提供多元化且符合业务系统需要的密码服务，减少业务系统使用密码算法的复杂度。该层次可以根据业务系统的需求进行动态扩充，增加能够满足业务系统密码应用的需求类型产品，动态提升密码服务的种类、能力和水平。

⑶支撑层

统一密码服务平台支撑层主要包括密钥管理、密码服务管理、证书管理系统等系统业务管理服务，密钥管理包括对称密钥管理、非对称密钥管理，基础密码服务包括数据加解密服务和数据签验服务的密码安全服务。负责统一密码服务平台业务实现和调用密码资源层实现密码应用。统一密码服务平台数据库模块支持对底层数据库读写统一调度。应用管理模块为应用提供注册、授权、密码资源分配等服务。设备管理模块负责为提供密码底层运算设备统一管理，所有密码设备统一在设备管理模块中注册、使用、分配组。

⑷资源层

该层次是统一密码服务管理平台整体框架的核心和基础，密码资源由各类密码机和密码设备管理系统组成，其中密码机主要是负责密钥的生成和存储以及相关的密码运算，支持常见的非对称密码运算和对称密码运算。本次建设主要包括云密码机、身份认证网关等密码设备。各类密码设备可以根据算法的更新和性能提升的要求进行平滑扩容，密码机的增加和退出不影响统一密码服务平台的统一运转，对于上层应用系统完全透明。

⑸服务监管

统一密码服务平台的服务监管部分是贯穿平台应用层、服务层、支撑层、资源层的，进行统一系统配置、业务管理、监控分析。实现对使用统一密码服务平台的业务应用进行接入注册管理、服务授权以及密码服务调用的鉴权等；对统一密码服务平台的实时业务情况、服务状态、资源状态等进行监控；同时对统一密码服务平台的管理操作和服务调用进行全面的日志记录，包括操作日志、系统日志、错误日志等。